인더뉴스 이종현 기자ㅣ개인정보보호위원회가 유심 해킹 사고로 2300만명의 개인정보를 유출한 SK텔레콤에 약 1348억원의 과징금을 부과했습니다.
개인정보위는 27일 전체회의를 열고 개인정보보호 법규를 위반한 SKT에 과징금 1천347억9천100만원과 과태료 960만원을 각각 부과했다고 28일 밝혔습니다.
이는 2020년 개인정보위가 출범한 이래 부과한 과징금 중 가장 큰 금액입니다. 개인정보 유출로 인한 최대 과징금은 2024년 5월 카카오에게 부과된 151억원의 과징금입니다.
이번 과징금은 SKT의 전체 이동통신서비스 매출액을 기준으로 산정했으며 다수의 안전조치의무 위반 사항이 유출사고의 직접적인 원인이 된 점 등을 고려해 '매우 중대한 위반행위'로 판단했다고 설명했습니다.
다만 ,위반행위를 시정하고 피해 회복을 위해 노력한 점 등을 고려해 일부 감경했습니다.
고학수 개인정보위원장은 이날 정부서울청사에 연 브리핑에서 "과징금 기준 액수, 감경 등 각각 단계의 구체적인 액수를 설명하기는 곤란하다"라면서 "피해보상 노력 등을 고려해서 감경했고, 이런 단계를 거쳐서 최종 과징금이 결정됐다"라고 말했습니다.
개인정보위는 지난 4월22일 SKT가 비정상적 데이터 외부 전송 사실을 인지하고 유출 신고해옴에 따라 조사에 착수했습니다. 사건의 중대성을 감안해 신고 당일 한국인터넷진흥원(KISA)과 함께 집중조사 태스크포스(TF)를 구성해 유출 관련 사실관계, 개인정보 보호법령 위반여부 등을 중점 조사했습니다.
TF의 조사 결과, SKT가 제공하는 이동통신 서비스의 핵심 역할을 하는 다수 시스템에 대한 해킹으로 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함, 중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출된 것으로 확인됐습니다.
개인정보위는 SKT가 ▲접근통제 조치 소홀 ▲접근권한 관리 소홀 ▲보안 업데이트 미조치·백신 미설치 ▲유심 인증키 미암호화 평문 저장 등 안전조치 의무를 위반했다고 봤습니다.
또한, 4월19일 경 HSS DB에 저장된 데이터가 외부로 전송된 사실을 확인해 개인정보 유출 사실을 인지했음에도, 법령에서 정한 72시간 내 유출된 이용자를 대상으로 유출 사실을 통지하지 않고 개인정보 유출 시 이용자 피해 예방을 위해 보호법에서 규정한 최소한의 의무조차 이행하지 않았다고도 판단했습니다.
개인정보위는 SKT가 국내 1위 이동통신사업자로서 안전조치의무를 소홀히 해 유심정보를 비롯한 개인정보가 유출된 행위와 정보 주체에 대한 유출 통지를 지연해 신속한 피해 확산방지를 소홀히 한 행위에 대해 각각 과징금과 과태료를 부과했다고 설명했습니다.
개인정보위는 유사 사례가 재발하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 강화하고 개인정보 안전관리 체계 강화방안을 마련해 9월 초 발표할 예정입니다.
SKT는 개인정보위 제재와 관련해 "이번 결과에 무거운 책임감을 느끼며 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것"이라고 밝혔습니다.
